1. 问题说明

测试移动客户端是否存在手势密码多次输入错误被锁定的安全策略。防止木马使用穷举法暴力破解用户密码。因为手势密码的存储容量非常小,一共只有 9! = 362880 种不同手势,若手势密码不存在锁定策略,木马可以轻易跑出手势密码结果,手势密码在输入时通常以 a[2][2] 这种 3*3 的二维数组方式保存,在进行移动客户端同服务器的数据交互时通常将此二维数组中数字转化为类似手机数字键盘的 b[8] 这种一维形式,之后进行一系列的处理进行发送,如果没有设置手势密码的锁定策略,那么攻击者可通过穷举方式破解手势密码。

2. 测试步骤

抓取手势密码的数据包,查看手势密码发送的形式,根据手势密码的参数看是否可以进行爆破,如果可以爆破则通过穷举方式破解手势密码。

3. 修复建议

建议在连续输入多次手势密码错误后锁定账号。